從索尼黑客起訴書(shū)看IT安全的5個(gè)經(jīng)驗(yàn)教訓(xùn)
責(zé)編:gltian |2018-10-22 11:13:11對(duì)朝鮮黑客樸鎮(zhèn)赫的起訴書(shū)包含有源自FBI調(diào)查的有價(jià)值信息,可供公司企業(yè)防御類(lèi)似的攻擊。
2018年8月,美國(guó)司法部(DoJ)公布了對(duì)朝鮮間諜樸鎮(zhèn)赫的起訴書(shū),稱(chēng)其是索尼黑客事件和WannaCry勒索軟件的背后黑手。這份170多頁(yè)的文檔由FBI洛杉磯辦公室的 Nathan Shields 撰寫(xiě),展示了FBI是如何運(yùn)用一系列嚴(yán)謹(jǐn)?shù)娜∽C分析手段找出各種攻擊的執(zhí)行方法。
安全研究人員給樸鎮(zhèn)赫所屬的黑客組織取了很多花名,比如 Lazarus Group、APT37、Lab 110、Group 123、Hidden Cobra、Nickel Academy和Reaper。于是,從起訴書(shū)中首先可以看出:朝鮮是過(guò)去6年來(lái)全球多起黑客活動(dòng)的中心。
當(dāng)然,朝鮮政府肯定是要否認(rèn)樸鎮(zhèn)赫的存在的,這些網(wǎng)絡(luò)罪行也肯定與朝鮮政府無(wú)關(guān)。政治上的事暫且不論,我們不妨看看FBI發(fā)現(xiàn)了什么,又有哪些經(jīng)驗(yàn)教訓(xùn)是CISO和其他IT經(jīng)理可以借鑒的。
FBI是怎么發(fā)現(xiàn)索尼事件背后黑客的
從法律角度閱讀該起訴書(shū)沒(méi)什么意義,不如看看文檔中反映出來(lái)的朝鮮滲透美國(guó)網(wǎng)絡(luò)的決心與毅力。
FBI成功跟蹤了樸鎮(zhèn)赫的數(shù)字蹤跡。此人被派駐中國(guó)邊境城市,明面上的身份是朝鮮政府為掩蓋其軍事黑客行動(dòng)而設(shè)的幌子公司“朝鮮博覽公司”的職員。在索尼黑客事件爆發(fā)前,他回到了朝鮮。
首先,F(xiàn)BI系統(tǒng)性地剖析了其使用的惡意軟件,建立了3起索尼數(shù)據(jù)泄露事件和3個(gè)WannaCry版本的攻擊時(shí)間線(xiàn)。
索尼事件中的惡意軟件包含有1萬(wàn)個(gè)硬編碼的主機(jī)名,顯示出黑客潛伏在索尼網(wǎng)絡(luò)中數(shù)月,進(jìn)行了廣泛深入的研究。該惡意軟件還含有專(zhuān)門(mén)針對(duì)索尼網(wǎng)絡(luò)中特定Unix/Linux系統(tǒng)的攻擊代碼。
首次攻擊在2014年12月爆發(fā),但黑客的偵察在2014年秋天就做好了。攻擊正好在《刺殺金正恩》電影發(fā)行前爆發(fā)。這部電影是黑客發(fā)起攻擊的動(dòng)機(jī)之一。
攻擊者使用了很多其他針對(duì)性元素,包括偽裝成發(fā)自索尼員工Facebook賬戶(hù)的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)郵件。這些釣魚(yú)郵件都包含有帶感染了惡意軟件的附件。其他郵件被發(fā)往預(yù)定在圣誕節(jié)首映該影片的AMC院線(xiàn)員工。與索尼一樣,這些郵件也都含有惡意附件,只不過(guò)沒(méi)能成功滲透AMC的網(wǎng)絡(luò)。
用來(lái)攻擊索尼的同一批電子郵件和IP地址還被用于攻擊某英國(guó)制片公司,因?yàn)檫@家公司當(dāng)時(shí)在制作一部朝鮮相關(guān)的獨(dú)立電視劇集。John Carlin 的《代碼戰(zhàn)爭(zhēng)降臨》一書(shū)生動(dòng)詳細(xì)地描述了索尼遭受的一系列攻擊和其他民族國(guó)家網(wǎng)絡(luò)恐怖分子的其他網(wǎng)絡(luò)襲擊活動(dòng)。
2016年,同一批朝鮮黑客還入侵了SWIFT支付網(wǎng)絡(luò),盜取多家東南亞銀行的資金。FBI稱(chēng),這些黑客從2014年秋天開(kāi)始就盯上了這幾家銀行。銀行感染的后門(mén)程序通過(guò)自定義的二進(jìn)制協(xié)議通信,走該協(xié)議的流量看起來(lái)很像TLS通信流量。這幾家亞洲銀行感染的惡意軟件和索尼網(wǎng)絡(luò)感染的惡意軟件都含有一個(gè)安全刪除函數(shù),可以回溯到同一批朝鮮黑客身上。
樸鎮(zhèn)赫及其同伙很忙:2017年用水坑攻擊對(duì)多家波蘭銀行下手——偵察工作始于2016年秋。同一批電子郵件和Facebook賬戶(hù),以及朝鮮IP地址,在入侵美國(guó)企業(yè)的攻擊中也有現(xiàn)身,被入侵企業(yè)包括洛克希德馬丁公司和多家韓國(guó)企業(yè)。Brambul和Destover也在朝鮮黑客創(chuàng)建的惡意軟件之列。
俄羅斯網(wǎng)絡(luò)安全公司Group-IB公布的研究分析結(jié)果佐證了FBI的發(fā)現(xiàn)。他們的報(bào)告是在2017年年中發(fā)布的,且同樣將這些黑客活動(dòng)關(guān)聯(lián)到了一起。
最后,上述黑客事件中所用惡意軟件的代碼模塊還出現(xiàn)在了WannaCry勒索軟件里,比如IP和電子郵件地址等很能說(shuō)明問(wèn)題的關(guān)鍵因素。WannaCry其實(shí)有3個(gè)不同版本,但全都可以通過(guò)通用代碼和共享的比特幣錢(qián)包關(guān)聯(lián)起來(lái)。
朝鮮的命令與控制基礎(chǔ)設(shè)施觸角廣布
起訴書(shū)中呈現(xiàn)的朝鮮命令與控制(C&C)基礎(chǔ)設(shè)施的分布之廣令人震驚。C&C服務(wù)器散布在美國(guó)、南非、沙特阿拉伯、波蘭和其他國(guó)家。電子郵件賬戶(hù)也是通過(guò)全球多個(gè)VPN和代理服務(wù)器訪(fǎng)問(wèn),顯示出他們防溯源工作做得十分縝密。攻擊使用了多款后門(mén)和木馬,通過(guò)大量Gmail賬戶(hù)和虛假Facebook賬號(hào)發(fā)送。下圖顯示的就是樸鎮(zhèn)赫所用的各種賬戶(hù)。
更令人難以置信的是,直到最近,朝鮮整個(gè)國(guó)家都只有約1000個(gè)公網(wǎng)IP地址和非常低的帶寬連接可用。所以,2016年1月,一幫流氓黑客就對(duì)朝鮮ISP發(fā)起了DDoS攻擊,作為索尼黑客事件的報(bào)復(fù)。
CISO和IT經(jīng)理能從中學(xué)到的
起訴書(shū)中描述的朝鮮黑客活動(dòng)給IT安全帶來(lái)了5條經(jīng)驗(yàn)教訓(xùn)。
1. 網(wǎng)絡(luò)釣魚(yú)意識(shí)培訓(xùn)很重要
AMC院線(xiàn)沒(méi)有步索尼被黑后塵,是因?yàn)樗麄冇?xùn)練得更多,防御更好。意識(shí)培訓(xùn)是個(gè)長(zhǎng)期持續(xù)的過(guò)程。黑客編制網(wǎng)絡(luò)釣魚(yú)郵件的技術(shù)不斷精進(jìn),編出的郵件內(nèi)容看起來(lái)像真的一樣,還用內(nèi)部信息、企業(yè)標(biāo)志及郵件模板,還有幾乎完全相像的域名和郵件地址來(lái)誘騙收件人點(diǎn)擊。
很多供應(yīng)商都提供意識(shí)培訓(xùn)項(xiàng)目,包括 Wombat Security、KnowBe4、MediaPro.com 和SANS研究所。此類(lèi)項(xiàng)目的目標(biāo)應(yīng)是在一個(gè)連續(xù)的循環(huán)中評(píng)估、教育、強(qiáng)化和測(cè)量。此外,還應(yīng)考慮如何激勵(lì)用戶(hù),讓培訓(xùn)不那么繁重乏味,提升培訓(xùn)的有效度。
2. 評(píng)估入侵檢測(cè)系統(tǒng)
企業(yè)需要更好的早期預(yù)警入侵檢測(cè)機(jī)制。朝鮮黑客在索尼和其他網(wǎng)絡(luò)中逡巡了數(shù)月之久,摸清了該打擊哪些服務(wù)器和冒充哪些雇員賬戶(hù)。如果公司入侵檢測(cè)系統(tǒng)(IDS)無(wú)法檢測(cè)入侵者,那就該更換其他解決方案了。
黑客攻克的每個(gè)目標(biāo)都是精心挑選的,并做了詳盡的研究以提升其網(wǎng)絡(luò)釣魚(yú)郵件和水坑的成功率。除了AMC院線(xiàn),他們?cè)跐B透其他公司網(wǎng)絡(luò)和長(zhǎng)期內(nèi)部探索揀選正確目標(biāo)上都極其成功。
3. 強(qiáng)化網(wǎng)絡(luò)分隔
作為IDS的補(bǔ)充,公司網(wǎng)絡(luò)分隔也應(yīng)加固。索尼的網(wǎng)絡(luò)就沒(méi)劃分好,黑客可以很容易地在其中橫向移動(dòng)。應(yīng)將數(shù)據(jù)隔離在各自恰當(dāng)?shù)牡胤健?/p>
4. 審計(jì)訪(fǎng)問(wèn)控制
是時(shí)候?qū)徲?jì)公司網(wǎng)絡(luò)控制了。檢查哪些雇員擁有管理員權(quán)限,了解這些權(quán)限是否過(guò)于寬泛。
5. 執(zhí)行紅隊(duì)演練
進(jìn)行紅隊(duì)演練以發(fā)現(xiàn)弱點(diǎn)。完整報(bào)告包含紅隊(duì)可用于確定公司網(wǎng)絡(luò)可被索尼黑客所用同種戰(zhàn)術(shù)攻克的細(xì)節(jié)。理想狀態(tài)下,在上述幾個(gè)關(guān)鍵問(wèn)題都解決了之后再進(jìn)行紅隊(duì)演練。
John Carlin 的《代碼戰(zhàn)爭(zhēng)降臨》地址:
https://www.amazon.com/Dawn-Code-War-Americas-Against/dp/1541773837
Group-IB報(bào)告地址:
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類(lèi)別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶(hù)賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!